VMware ESXi hipervizörlerini etkileyen ve yakın zamanda düzeltilen bir güvenlik açığı, “birkaç” fidye yazılımı grubu tarafından yüksek izinler elde etmek ve dosya şifreleyen kötü amaçlı yazılımlar dağıtmak için aktif olarak kullanıldı.
Saldırılar, bir saldırganın ana bilgisayara yönetimsel erişim elde etmesine olanak tanıyan bir Active Directory bütünleştirme kimlik doğrulama atlatma yöntemi olan CVE-2024-37085’in (CVSS puanı: 6,8) istismarını içeriyor.
Broadcom’un sahibi olduğu VMware, Haziran 2024 sonlarında yayınladığı bir duyuruda, “Yeterli Active Directory (AD) izinlerine sahip kötü niyetli bir aktör, daha önce AD’yi kullanıcı yönetimi için kullanacak şekilde yapılandırılmış bir ESXi ana bilgisayarına, AD’den silindikten sonra yapılandırılmış AD grubunu (varsayılan olarak ‘ESXi Yöneticileri’) yeniden oluşturarak tam erişim elde edebilir” ifadesini kullandı.
Başka bir deyişle, ESXi’deki ayrıcalıkları yöneticiye yükseltmek, “ESX Admins” adında yeni bir AD grubu oluşturup herhangi bir kullanıcıyı eklemek veya etki alanındaki herhangi bir grubu “ESX Admins” olarak yeniden adlandırıp gruba bir kullanıcı eklemek veya mevcut bir grup üyesini kullanmak kadar basitti.
Microsoft, 29 Temmuz’da yayımladığı yeni analizinde, Storm-0506, Storm-1175, Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörlerinin, Akira ve Black Basta’yı dağıtmak için saldırı sonrası tekniği kullandığını gözlemlediğini söyledi.
Araştırmacılar Danielle Kuznets Nohi, Edan Zwick, Meitar Pinto, Charles-Edouard Bettan ve Vaibhav Deshmukh, “Active Directory etki alanına katılan VMware ESXi hipervizörleri, ‘ESX Admins’ adlı etki alanı grubunun herhangi bir üyesinin varsayılan olarak tam yönetici erişimine sahip olduğunu kabul eder” dedi.
“Bu grup Active Directory’de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun var olduğunu doğrulamaz ve bu adı taşıyan bir grubun üyelerine, grup başlangıçta mevcut olmasa bile, tam yönetici erişimiyle davranır.”
Storm-0506 tarafından Kuzey Amerika’daki ismi açıklanmayan bir mühendislik firmasına düzenlenen saldırıda, tehdit aktörü, QakBot enfeksiyonu kullanarak ilk başta bir dayanak noktası elde ettikten ve ayrıcalık yükseltme için Windows Ortak Günlük Dosya Sistemi (CLFS) Sürücüsündeki (CVE-2023-28252, CVSS puanı: 7,8) başka bir açığı kullandıktan sonra, ESXi hipervizörlerine yüksek düzeyde izinler elde etmek için bu güvenlik açığını silah olarak kullandı.
Daha sonraki aşamalar, etki alanı yöneticisi kimlik bilgilerini çalmak ve ağ üzerinde yatay olarak hareket etmek için Cobalt Strike ve Mimikatz’ın Python versiyonu olan Pypykatz’ın konuşlandırılmasını, ardından kalıcılık için SystemBC implantının bırakılmasını ve Black Basta’yı dağıtmak için ESXi yönetici erişiminin kötüye kullanılmasını içeriyordu.
Araştırmacılar, “Aktörün ayrıca, yanal hareket için başka bir yöntem olarak birden fazla cihaza Uzak Masaüstü Protokolü (RDP) bağlantıları kurmaya çalıştığı ve ardından tekrar Cobalt Strike ve SystemBC’yi yüklediği gözlemlendi” dedi. “Tehdit aktörü daha sonra tespit edilmekten kaçınmak için çeşitli araçlar kullanarak Microsoft Defender Antivirus’ü kurcalamaya çalıştı.”
Bu gelişme, Google’ın sahibi olduğu Mandiant adlı şirketin UNC4393 adlı finansal amaçlı bir tehdit kümesinin, ZLoader (diğer adıyla DELoader, Terdot veya Silent Night) kod adlı bir C/C++ arka kapısı aracılığıyla elde ettiği ilk erişimi kullanarak Black Basta’yı yaydığını ve QakBot ile DarkGate’den uzaklaştığını açıklamasının ardından geldi.
“UNC4393, hedeflere yönelik eylemlerini tamamlamak için birden fazla dağıtım kümesiyle işbirliği yapma isteğini gösterdi,” dedi tehdit istihbarat firması. “Bu yılın başlarında başlayan Silent Night etkinliğinin bu son dalgası, öncelikle kötü amaçlı reklamcılık yoluyla sağlandı. Bu, UNC4393’ün bilinen tek ilk erişim yolu olarak kimlik avından önemli bir uzaklaşma anlamına geliyordu.”
Saldırı dizisi, Cobalt Strike Beacon’ı düşürmek için ilk erişimin ve keşif yapmak için özel ve kolayca bulunabilen araçların bir kombinasyonunun kullanılmasını içerir, ayrıca yanal hareket için RDP ve Server Message Block’a (SMB) güvenmeyi de unutmamak gerekir. Kalıcılık, SystemBC aracılığıyla elde edilir.
Geçtiğimiz yılın sonlarında uzun bir aradan sonra yeniden ortaya çıkan ZLoader, aktif bir şekilde geliştiriliyor ve Walmart’ın siber istihbarat ekibinin son bulgularına göre, PowerDash adı verilen bir PowerShell arka kapısı aracılığıyla kötü amaçlı yazılımın yeni varyantları yayılıyor.
Son birkaç yıldır, fidye yazılımı aktörleri etkiyi en üst düzeye çıkarmak ve tespit edilmekten kaçınmak için yeni tekniklere yönelme isteği gösterdiler; giderek daha fazla sayıda ESXi hipervizörünü hedef alıyorlar ve ilgi duydukları hedeflere sızmak için internete bakan sunuculardaki yeni ortaya çıkan güvenlik açıklarından yararlanıyorlar.
Örneğin Qilin (diğer adıyla Agenda), başlangıçta Go programlama dilinde geliştirilmişti ancak o zamandan beri Rust kullanılarak yeniden geliştirildi ve bu da bellek güvenli diller kullanarak kötü amaçlı yazılım oluşturmaya doğru bir kayma olduğunu gösteriyor. Fidye yazılımı içeren son saldırıların, ilk erişim için Fortinet ve Veeam Backup & Replication yazılımlarındaki bilinen zayıflıkları kullandığı bulundu.
Group-IB yakın zamanda yaptığı bir analizde, “Qilin fidye yazılımı yerel bir ağ üzerinden kendi kendine yayılma yeteneğine sahip” derken, ayrıca “VMware vCenter’ı kullanarak kendi kendine dağıtım yapabilecek” donanıma sahip olduğunu da sözlerine ekledi.
Qilin fidye yazılımı saldırılarında kullanılan bir diğer dikkat çekici kötü amaçlı yazılım, enfekte olmuş bilgisayarda çalışan popüler uç nokta algılama ve yanıt (EDR) yazılımlarını devre dışı bırakmak ve tüm Windows olay günlüklerini temizleyerek tehlikeye dair tüm göstergeleri ortadan kaldırmak üzere tasarlanmış Killer Ultra adlı bir araçtır.
Kuruluşların en son yazılım güncellemelerini yüklemeleri, kimlik bilgisi hijyenini uygulamaları, iki faktörlü kimlik doğrulamayı zorunlu kılmaları ve uygun izleme prosedürleri ve yedekleme ve kurtarma planları kullanarak kritik varlıkları korumak için adımlar atmaları önerilir.